Connect ke AWS KMS VPC endpoint - AWS Key Management Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Connect ke AWS KMS VPC endpoint

Anda dapat terhubung ke AWS KMS melalui VPC titik akhir dengan menggunakan AWS SDK, AWS CLI, atau AWS Tools for PowerShell. Untuk menentukan VPC titik akhir, gunakan DNS namanya.

Misalnya, perintah list-keys ini menggunakan endpoint-url parameter untuk menentukan titik akhir. VPC Untuk menggunakan perintah seperti ini, ganti contoh ID VPC endpoint dengan yang ada di akun Anda.

$ aws kms list-keys --endpoint-url https://vpce-1234abcdf5678c90a-09p7654s-us-east-1a.ec2.us-east-1.vpce.amazonaws.com
Izin yang diperlukan

Agar AWS KMS permintaan yang menggunakan VPC titik akhir berhasil, prinsipal memerlukan izin dari dua sumber:

  • Kebijakan kunci, IAMkebijakan, atau hibah harus memberikan izin utama untuk memanggil operasi pada sumber daya (KMSkunci atau alias).

  • Kebijakan VPC endpoint harus memberikan izin utama untuk menggunakan endpoint untuk membuat permintaan.

Misalnya, kebijakan kunci mungkin memberikan izin utama untuk memanggil Dekripsi pada kunci tertentuKMS. Namun, kebijakan VPC titik akhir mungkin tidak mengizinkan prinsipal tersebut untuk memanggil Decrypt KMS kunci itu dengan menggunakan titik akhir.

Atau kebijakan VPC titik akhir mungkin mengizinkan prinsipal menggunakan titik akhir untuk memanggil kunci DisableKeytertentuKMS. Tetapi jika prinsipal tidak memiliki izin tersebut dari kebijakan, IAM kebijakan, atau hibah kunci, permintaan gagal.

Anda dapat membuat kebijakan VPC titik akhir saat membuat titik akhir, dan Anda dapat mengubah kebijakan VPC titik akhir kapan saja. Gunakan konsol VPC manajemen, atau ModifyVpcEndpointoperasi CreateVpcEndpointatau. Anda juga dapat membuat dan mengubah kebijakan VPC endpoint dengan menggunakan AWS CloudFormation template. Untuk bantuan menggunakan konsol VPC manajemen, lihat Membuat titik akhir antarmuka dan Memodifikasi titik akhir antarmuka dalam Panduan.AWS PrivateLink

Nama host pribadi

Jika Anda mengaktifkan nama host pribadi saat membuat VPC titik akhir, Anda tidak perlu menentukan VPC titik akhir URL dalam CLI perintah atau konfigurasi aplikasi Anda. AWS KMS DNSNama host standar menyelesaikan ke titik akhir Anda. VPC SDKsGunakan AWS CLI dan gunakan nama host ini secara default, sehingga Anda dapat mulai menggunakan VPC titik akhir untuk terhubung ke titik akhir AWS KMS regional tanpa mengubah apa pun di skrip dan aplikasi Anda.

Untuk menggunakan nama host pribadi, enableDnsSupport atribut enableDnsHostnames dan atribut Anda VPC harus disetel ketrue. Untuk mengatur atribut ini, gunakan ModifyVpcAttributeoperasi. Untuk detailnya, lihat Melihat dan memperbarui DNS atribut untuk Anda VPC di Panduan VPC Pengguna Amazon.